鉴于及时修复困难重重，需要修复或缓解的新漏洞又层出不穷，漏洞管理公司Rezilion委托波耐蒙研究所调查研究漏洞管理状况。

波耐蒙研究所主席Larry Ponemon称：“调查收到了634名IT和安全从业人员的回复。受访者主要位于北美，其所属企业均制定了有效的DevSecOps计划。从技术上讲，调查结果的误差约为3.5%。”

Ponemon最为关切的是，不到一半的受访者（47%）认为自己的开发团队“能够提供增强的客户体验和安全的应用程序”。

问题可能源于该研究的主要发现之一：公司面对的是系统中积压的10万个漏洞。不是所有漏洞都可以利用：事实上，其中85%都无法实际利用。话虽如此，仍有1.5万个漏洞需要修复，工作量大到可怕。

Rezilion首席执行官Liran Tancman称：“问题的根源在于检测、确定优先级和修复每个漏洞所需的时间。超过半数的受访者（77%）称每个漏洞需要21分钟。”

算一下就可以知道，即使仅检测可利用漏洞，此后也需要花费430天每天12小时的人工，才能清除这些积压的漏洞。而且每天还有源源不断的新漏洞出现，这种方法明显不可持续。

Tancman表示，研究呈现的所有统计数据的重点在于，受访者认为自己缺乏足够的工具来解决问题，唯一真正的解决方案是自动化。

他表示：“仅仅梳理企业积压的大量漏洞，就会耗费无数时间和金钱。如果积压了超过10万个漏洞，想想人工检测、排序和修复这些漏洞花费的分钟数，可不就是意味着每年要花几千小时在积存漏洞管理上？这些数字清楚表明，如果没有适当的工具进行自动检测、排序和修复，就不可能有效管理积存的漏洞。”

只依赖第三方关键漏洞列表于事无补。Tancman以CISA KEV（已知被利用漏洞）列表为例。“当然，这是个很好的起点。”他说道，“但是，就拿KEV列表中的Log4J（CVE-2021-44228）来说。我们从客户处得知，他们大概有1万个Log4J事件，但他们的环境中只有100个是可利用的。漏洞确实存在，但易受攻击的特定功能它没运行啊。”

Tancman的观点是，此类漏洞列表是不错的起点。“但是，接下来，了解环境中哪些程序真正运行，哪些只是躺那儿啥都不干，是过滤漏洞列表的一种方法。”他随后提到了“影子软件”——存在于系统中但由于其打包方式而无法被传统扫描器检测到的软件，这种软件会造成进一步的麻烦。

检查应用中包含哪些组件时，可以从软件物料清单（SBOM）着手。“但是SBOM的帮助有限。”Tancman说道，“例如，你看不到容器里的东西，而且很多时候还是嵌套的。所以，我们Rezilion不仅查看文件系统，还检查内存。我们查看执行的一切，细致到函数级别。即使采用了特殊打包方式，我们仍会看到。”

Rezilion的自动化漏洞解决方案主要做三件事。“首先，我们创建动态的软件物料清单，你可以将之插入自己的环境里，立即就能查看环境中的所有软件。”Tancman表示，“你可以搜索Log4J，马上就能知道都在哪儿。”

第二件事是漏洞验证。“使用我们的运行时智能，我们不仅了解你环境中有些什么，而且知道这些东西都在干什么，怎么执行的。”而这种方法通常表明，大约85%的漏洞都不需要修复，因为就算存在于环境中，但这些漏洞既不可攻击，又不可利用。

“所以，我们拿到10万个积压的漏洞，缩减到1.5万个待处理的漏洞。然后，我们用智能修复帮助客户处理这些漏洞。我们经常遇到的是，如果按软件组件对这些漏洞进行分组，你可以创建策略，只需触及100个组件，就可以排除1万个漏洞。于是，我们创建出能够减少必做事项数量的智能修复策略，还帮你自动化应用这一策略。我们会自动检测、排序和修复这些漏洞。如今，我们能够帮助每位客户大幅减少积压的漏洞，削减幅度达85%~95%。”

《lDevSecOps漏洞管理状况》

https://www.rezilion.com/wp-content/uploads/2022/09/Ponemon-Rezilion-Report-Final.pdf

来源：数世咨询